James-Bond- und Jason-Bourne-Filme wären viel weniger ermutigend, wenn Geheimagenten ihre Informationen durch einen Blick auf den Bildschirm Ihres Laptops erhalten würden. Stattdessen sind in diesen Filmen natürlich viele Gadgets zu sehen, mit intelligenten Datenerfassungsgeräten, die als verschiedene Alltagsgegenstände getarnt sind. Filme dienen der Unterhaltung und nicht dazu, nützliche Lektionen zum Thema Datensicherheit zu erteilen. Aber eine genauere Beschreibung der internationalen Spionage würde weitaus weniger Geräte und viele andere Teile dessen umfassen, was John Le Carré als „Ausarbeitung“ bezeichnete. Dabei kann es sich beispielsweise um etwas ganz Einfaches handeln, wie um einen USB-Stick wegzustecken oder sich umzudrehen, um ein vertrauliches Dokument zu lesen. Unternehmen gaben im Jahr 100 fast 2018 Milliarden Euro für Informationssicherheit aus; Allerdings scheint selbst diese unglaubliche Zahl kaum Einfluss auf die Zahl der Vergewaltigungen zu haben. Ein Bericht der Analysten von Research 451 ergab, dass mehr als ein Drittel der 1,200 globalen Unternehmen im Jahr 2017 im Vergleich zum Vorjahresquartal eine Sicherheitsverletzung meldeten. Die Autoren des Berichts stellten fest, dass, wenn Unternehmen Schwierigkeiten hätten, mit den Auswirkungen der digitalen Transformation umzugehen, „die datenzentrierten Sicherheitsausgaben selbst ganz unten auf der Ausgabenagenda für IT-Sicherheit stehen und diese ernsthaft gefährden: Kundendaten, Finanzinformationen und geistiges Eigentum.“ .
Es ist nicht so logisch
Physische Sicherheit kann banaler und weniger „sexy“ erscheinen als logische Sicherheitstools wie Verschlüsselung und Endpunktschutz. Aber nur weil Jason Bourne keinen Sichtschutz an seinem Laptop verwendet, heißt das nicht, dass der physische Aspekt der Sicherheit nicht so wichtig ist wie die Logik. Denk darüber nach. Wie oft sind Sie den Gang eines Zugs oder Flugzeugs entlanggegangen und haben gesehen, wie Menschen vor den Augen anderer Passagiere an einer Tabellenkalkulation, Präsentation, E-Mail oder einem Dokument arbeiteten? Unterdessen kann ein Krimineller durch einen kurzen Blick auf eine elektronische Signatur erkennen, wer die Person wirklich ist, und ihn dazu inspirieren, ein Gerät zu stehlen, wenn ihm die Rückseite des Zeichens zurückgegeben wird. Die Folgen eines Verstoßes sind die gleichen, unabhängig davon, ob die Daten aus einem Unternehmensnetzwerk gehackt oder auf einem physischen Gerät gestohlen wurden, und die DSGVO unterscheidet nicht zwischen logischen und physischen Verstößen. Der Fall des verlorenen USB-Sticks am Flughafen Heathrow im vergangenen Jahr, bei dem sensible persönliche Daten von bis zu 50 Personen der Luftsicherheit offengelegt wurden. Wäre das USB-Speichergerät durch Verschlüsselung oder Passwort geschützt gewesen, hätte der Flughafen den Großteil der vom Information Commissioner's Office verhängten Geldbuße in Höhe von 120,000 Euro vermieden. Noch besser wäre es gewesen, sicherzustellen, dass der USB-Stick nicht verschwunden ist. Und hier müssen Unternehmen ihre Anstrengungen verdoppeln, um jedem Mitarbeiter die Bedeutung der physischen Sicherheit zu vermitteln.Bildnachweis: Shutterstock (Bild: © Pexels)